يك كمپين هك گسترده، شركتهاي سراسر دنيا را هدف قرار داده است
تاكنون شركتهاي مختلفي توسط هكرها مورد حمله قرار گرفتهاند. اين اتفاق يكي از رايجترين شيوههاي هك در عصر حاضر است؛ زيرا شركتهاي بزرگ داراي اطلاعات بسيار ارزشمندي هستند كه توجه هر سودجويي را به خود جلب ميكند. اما اشكال اصلي زماني آغاز ميشود كه يك گروه تصميم به هك كردن تعداد زيادي از شركتها بگيرند. زمانيكه چنين اتفاقي رخ ميدهد افراد بسيار بيشتري درگير اين مسئله ميشوند و شرايط خطرناكتر خواهد بود. هرچه سيستمهاي امنيتي پيشرفتهتر شوند، هكرها هميشه راهي براي نفوذ پيدا ميكنند. بهتازگي گزارشي در فضاي مجازي منتشر شده است كه از يك گروه هكر قدرتمند خبر ميدهد.
محققان موفق به كشف گروهي شدهاند كه در قالب يك كمپين، از ابزارها و روشهاي پيچيده براي نفوذ به شبكهي شركتها در سراسر جهان استفاده ميكند. اين هكرها كه به احتمال زياد از يك گروه معروف هستند كه بودجه آنها توسط دولت چين تأمين ميشود، از دو دسته ابزار مختلف استفاده ميكنند؛ بعضي از اين ابزارها معمولي هستند و دستهي ديگر سفارشيشده و اختصاصي. يكي از ابزارهاي مذكور از Zerologon استفاده ميكند؛ كه به يك آسيبپذيري در سرور ويندوز گفته ميشود. البته پچ امنيتي مربط به آن در ماه آگوست منتشر شده است. اين اشكال ميتواند به مهاجمان امكان دسترسي سريع به سيستمهاي آسيبپذير بدهد.
شركت امنيتي سيمانتك (Symantec) از نام رمز Cicada براي اين گروه استفاده ميكند كه به اعتقاد عموم بودجهي آن توسط دولت چين تأمين ميشود. گروه Cicada كه هيچ ارتباط و وابستگي به شركتهاي ديگر ندارد، حداقل از سال ۲۰۰۹ در هك به سبك جاسوسي فعال بوده است و تقريبا بهطور انحصاري شركتهاي مرتبط با ژاپن را هدف قرار ميدهد. نكته جالب اينجا استكه شركتهاي هدف اين كمپين در ايالات متحده آمريكا و ساير كشورها مستقر هستند؛ اما همه آنها به گونهاي با ژاپن يا شركتهاي ژاپني پيوند دارند. اين يعني هدف اصلي اين گروه ضربه زدن به ژاپن و شركتهاي اين كشور است.
محققان شركت امنيتي سيمانتك در گزارشي اعلام كردند:
... با دامنهي گسترده صنايع مورد هدف اين حملات، سازمانهاي ژاپني در همه بخشها بايد آگاه باشند كه در معرض خطر اين نوع فعاليتها هستند.
در اين حملات از DLL loading side استفاده گستردهاي ميشود؛ اين روشي است كه در آن، مهاجمان يك جزوه رايگانخانهي ويندوز را با يك فايل مخرب جايگزين ميكنند. مهاجمان از DLL loading side براي تزريق بدافزار به فرآيندهاي قانوني استفاده ميكنند تا بتوانند مانع از شناسايي هك توسط نرمافزار امنيتي شوند.
اين كمپين همچنين از ابزاري استفاده ميكند كه توانايي بهرهبرداري از باگ Zerologon دارد. هكرها در اين روش با ارسال يك رشته صفر در سري پيامهايي كه از پروتكل Netlogon بهره ميبرند، سرورهاي ويندوز را كه براي ورود متخصصان به شبكه از آنها استفاده ميشود به اشتباه مياندازند. هكرها ميتوانند از باگ امنيتي Zerologon براي دسترسي به كنترلكنندههاي دامنه Active Directory دسترسي پيدا كنند و از آن استفاده كنند؛ اين بخش مانند يك دروازهبان قدرتمند براي همه ماشينهاي متصل به شبكه عمل ميكند.
مايكروسافت در آگوست پچ امنيتي اين آسيبپذيري جدي را براي افزايش امنيت متخصصان خود منتشر كرد. اما از آن زمان، مهاجمان از اين باگ براي نفوذ به سازمانهايي كه هنوز اين پچ امنيتي را نصب نكردهاند، استفاده ميكنند. FBI و سازمان امنيت داخلي ايالات متحده خواستار آن شدهاند كه بلافاصله سيستمها از اين پچ براي مقابله با نفوذ اين افراد استفاده كنند.
از جمله سيستمهايي كه در هنگام حملات كشفشده توسط سيمانتك به خطر افتادهاند، ميتوان به كنترلكنندههاي دامنه (Domain Controllers) و سرورهاي فايل (File Fervers) اشاره كرد. محققان اين شركت همچنين شواهدي در مورد فايلهاي فاششده از برخي دستگاههاي آسيبديده كشف كردند.
مناطق و صنايع مختلف هدف
اهداف اين گروه سودجو از بخشهاي مختلف صنعت هستند؛ شامل:
- خودروسازي و شركتهاي سازنده قطعات خودرو (مهمترين اهداف مهاجمان)
- پوشاك
- الكترونيك
- مهندسي
- شركتهاي بازرگاني عمومي
- دولت
- محصولات صنعتي
- ارائهدهندگان خدمات مديريتشده
- ساخت و ساز
- دارويي
- خدمات حرفهاي
در ادامه نقشهاي از مكان جغرافيايي اهداف آورده شده است:
سيمانتك توانسته است حملات مختلف را بر اساس اثر انگشت ديجيتال بدافزار و كد حمله به Cicada مرتبط كند. اثر انگشت مذكور شامل تكنيكهاي مبهمسازي و كدي است كه در بارگيري جانبي DLL استفاده شده. همچنين ويژگيهايي كه در ادامه ذكر شدهاند به ما از اطلاعات اثر انگشت ديجيتال اين گروه خبر ميدهند. اين موارد در سال ۲۰۱۹ توسط شركت امنيتي Cylance كشف شده بودند:
- مرحله سوم DLL داراي يك نام خاص و مشخص است.
- مرحله سوم DLL از روش CppHostCLR براي تزريق و اجراي مجموعه NET استفاده ميكند.
- فايل .NET Loader با ConfuserEx v1.0.0 مبهمسازي شده است.
- فايل نهايي QuasarRAT است كه درواقع يك راه نفوذ منبع باز محسوب ميشود و پيشتر توسط Cicada استفاده شده است.
محققان سيمانتك نوشتند:
مقياس عمليات به تواناييهاي گروه Cicada اشاره دارد. هدف قرار دادن چندين سازمان بزرگ در جغرافياي مختلف بهطور همزمان، به منابع و مهارتهاي زيادي نياز دارد كه بهطور كلي فقط در گروههاي تحت حمايت دولتها ديده ميشود. پيوندي كه همه قربانيان به ژاپن دارند نيز به Cicada اشاره دارد؛ زيرا در گذشته سازمانهاي ژاپني هدف اصلي اين گروه بودند.
اين متن به اين مسئله اشاره دارد كه احتمالا اين گروه بهطور مستقيم از دولت چين تغذيه ميشوند و وظيفهي اصلي آنها حمله به سازمانهاي ژاپني است؛ البته اين ادعا هنوز به اثبات نرسيده است. تاكنون شركتهاي زيادي توسط اين گروه مورد حمله قرار گرفتهاند و اطلاعات زيادي از آنها فاش شده است.
انديشه متخصصينات شما متخصصان اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران دربارهي گروه Cicada چيست؟ آيا به انديشه متخصصين شما اين هكرها از سوي دولت چين براي نابودي شركتهاي ژاپني تأمين ميشوند؟
هم انديشي ها